Page Comparison

Die Informationen, die zur Authentifizierung gespeichert werden sind Hash und Salt.

Der Client hasht das eingegebene Passwort mit einem Salt, welcher u.A. den Benutzernamen enthält (Clientside client-seitiges PBKDF2). Dieser Hash wird an den Server gesendet und dort mit dem für diesen Nutzer in der Datenbank hinterlegtem hinterlegten Salt nochmals gehastgehasht, was nur bei Übereinstimmung mit dem persistieren Wert als erfolgreiche Anmeldung gewertet wird (Serverside server-seitiges PBKDF2). Der serverseitige server-seitige Salt ist eine für jeden Benutzer individuelle und zufällig generierte Bytefolge. Dieses Vorgehen stellt folgende Punkte sicher:

• Das Passwort wird nicht im Klartext an den Server übertragen.
• Die an den Server gesendete Information (Hash 1) unterscheidet sich von der zu diesem Benutzer in der Datenbank gespeicherten Information (Hash 2).
• Der Client erhält keine Kenntnis über die in der Datenbank hinterlegten Werte für Hash oder Salt.
• Selbst bei identischen Passworten Passwörtern sind die Hash-Werte für verschiedene Benutzer unterschiedlich. Dies gilt sogar, wenn die Salt-Werte für zwei Benutzer identisch wären. D.h es ist nicht möglich, die Datenbankeinträge eines Benutzers auf die eines anderen Benutzers sinnvoll zu übertragen.
• Die Hashberechnung Hash-Berechnung ist so gestalltetgestaltet, dass Brute-Force-Attacken erschwert werden.
• Das eingesetzte Verfahren ist Bestandteil der Standard .NET-Bibliotheken.